一种安全告警显示方法、系统、装置及服务器制造方法及图纸

本发明专利技术公开了一种安全告警显示方法、系统、装置及服务器，该方案并没有采用现有技术中只依据告警级别随机选取预设展示条数的安全告警的方法，而是引入与安全告警的告警级别、告警时间和告警源中的至少两种相关的影响力，首先按照告警级别的高低从所有的终端安全告警和流量安全告警中确定安全告警数据源，随后确定该安全告警数据源中每条安全告警对应的影响力，根据所有的安全告警的影响力确定可供展示的安全告警，并最终确定用于展示的安全告警。该方案减少了因仅依靠告警级别随机选取展示的安全告警而易导致的重要的安全告警被淹没的概率，展示效率更高，有助于开发人员或用户读取并掌握网络中出现的安全告警以维护网络安全。网络安全。网络安全。

【技术实现步骤摘要】
一种安全告警显示方法、系统、装置及服务器


[0001]本专利技术涉及安全告警领域，特别是涉及一种安全告警显示方法、系统、装置及服务器。

技术介绍

[0002]探针可以监测如关键路由和交换机等网络关键设备上的网络流量日志并确定海量的网络流量日志中是否存在危险以产生流量安全告警，该流量安全告警可以以系统日志的形式接入到SEIM(Security Event Information Management，安全事件信息管理)架构的大数据平台中。同时，在一些内网或专网内还设置有终端安全监测设备，其在检测到终端安全受到威胁时会产生终端安全告警，这些终端安全告警也会接入到该大数据平台中，由该大数据平台统一处理上述的流量安全告警和终端安全告警以实现对网络安全的保护。
[0003]终端安全告警和流量安全告警的数量有很多，且这些安全告警的级别有高有低，为了使开发人员或用户能够更好地读取并掌握网络中出现的安全告警以维护网络安全，需要选择预定数目的告警级别高的安全告警进行展示。现有技术中会从多个告警级别高的安全告警中随机选择预定数目的安全告警进行展示，但具有相同的高告警级别的安全告警的数量很可能不止一个，这种随机选择的方式很可能出现一些告警级别高且对于开发人员来说很重要的安全告警没有被展示的情况，导致安全告警展示效率低下。尤其是对于一些内网或专网来说，终端安全是否合规比交换机上的流量安全更加重要，但采用该种随机选择的方式很有可能出现告警级别高的终端安全告警被淹没在同样告警级别高的流量安全告警中的情况。

技术实现思路

[0004]本专利技术的目的是提供一种安全告警显示方法、系统、装置及服务器，该方案减少了因仅依靠告警级别随机选取展示的安全告警而易导致的重要的安全告警被淹没的概率，选取用于展示的安全告警的方法更加有效，展示效率更高，有助于开发人员或用户读取并掌握网络中出现的安全告警以维护网络安全。
[0005]为解决上述技术问题，本专利技术提供了一种安全告警显示方法，包括：
[0006]根据告警级别从高到低的顺序从所有的终端安全告警中选取m条所述终端安全告警，m≥1；
[0007]根据告警级别从高到低的顺序从所有的流量安全告警中选取n条所述流量安全告警，以构成由m条所述终端安全告警及n条所述流量安全告警组成的包含N条安全告警的安全告警数据源，m+n＝N，n≥1；
[0008]根据所述安全告警源中每条安全告警的告警特征确定每条所述安全告警的表征所述安全告警的重要程度的影响力，所述告警特征包括告警级别、告警时间和告警源中的至少两个；
[0009]根据所有的安全告警的影响力确定所有的安全告警中的可供展示的安全告警；
[0010]根据可供展示的安全告警的影响力及预设展示条数确定用于展示的安全告警。
[0011]优选的，所述告警特征包括告警级别、告警时间和告警源时，根据所述安全告警源中每条安全告警的告警特征确定每条所述安全告警的表征所述安全告警的重要程度的影响力，包括：
[0012]根据第i条所述安全告警的告警级别确定第i条所述安全告警对应的告警级别权重C，其中，1≤i≤N，N条安全告警对应的C的加和为第一预设阈值或乘积为第二预设阈值；
[0013]根据第i条所述安全告警的告警时间确定第i条所述安全告警对应的告警时间权重D，其中，N条安全告警对应的D的加和为第三预设阈值或乘积为第四预设阈值；
[0014]根据第i条安全告警的告警源确定第i条所述安全告警对应的告警源权重E，其中，N条安全告警对应的E的加和为第五预设阈值或乘积为第六预设阈值；
[0015]对于第i条所述安全告警，执行如下步骤：
[0016]基于预设影响力关系式确定第i条所述安全告警的影响力；
[0017]所述预设影响力关系式为影响力＝告警级别*C+告警时间*D+告警源*E。
[0018]优选的，根据所有的安全告警的影响力确定所有的安全告警中的可供展示的安全告警，包括：
[0019]在第i条所述安全告警的影响力不小于所述预设影响力阈值时，确定第i条所述安全告警为可供展示的安全告警；
[0020]在第i条所述安全告警的影响力小于所述预设影响力阈值时，确定第i条所述安全告警为非可供展示的安全告警。
[0021]优选的，根据可供展示的安全告警的影响力及预设展示条数确定用于展示的安全告警，包括：
[0022]将所有的可供展示的安全告警的影响力按照从高到低的顺序排序；
[0023]从与所述影响力排序最高的对应的可供展示的安全告警开始顺序选择所述预设展示条数的用于展示的安全告警。
[0024]优选的，根据所有的安全告警的影响力确定所有的安全告警中的可供展示的安全告警之前，还包括：
[0025]以S条安全告警为单位对所述安全告警数据源进行分组，若最后剩余的安全告警的条数a小于S，则将剩余的a条安全告警作为一组，共得到X组，其中，(X
‑
1)*S+a＝N，1≤S≤N且S为整数，0＜a＜S且a为整数，X为不小于1的整数；
[0026]根据第j个所述安全告警组合中所有的安全告警的影响力的加和确定第j个所述安全告警组合对应的组合权重，所述组合权重与所述影响力的加和呈正相关；其中，1≤j≤X，所有的组合权重的加和为第七预设阈值或乘积为第八预设阈值；
[0027]根据所有的安全告警的影响力确定所有的安全告警中的可供展示的安全告警，包括：
[0028]对于第j个所述安全告警组合中的第z条所述安全告警，1≤z≤S，执行如下步骤：
[0029]在第z条所述安全告警的影响力不小于所述预设影响力阈值时，确定第z条所述安全告警为第j个所述安全告警组合中可供展示的安全告警；
[0030]在第z条所述安全告警的影响力小于所述预设影响力阈值时，确定第z条所述安全告警为第j个所述安全告警组合中非可供展示的安全告警；
[0031]根据可供展示的安全告警的影响力及预设展示条数确定用于展示的安全告警，包括：
[0032]将所有的安全告警组合对应的组合权重按照从大到小的顺序排序；
[0033]根据所有的组合权重的排序从与最大的组合权重对应的安全告警组合中的可供展示的安全告警开始依次选择所述预设展示条数的用于展示的安全告警。
[0034]优选的，根据所有的组合权重的排序从与最大的组合权重对应的安全告警组合中的可供展示的安全告警开始依次选择所述预设展示条数的用于展示的安全告警，包括：
[0035]S11：确定最大的组合权重为当前待选择组合权重；
[0036]S12：判断与所述当前待选择组合权重对应的安全告警组合中可供展示的安全告警的条数是否不大于所述预设展示条数，若是，进入S13；若否，进入S16；
[0037]S13：确定与所述当前待选择组合权重对应的安全告警组合中可供展示的安全告警全部作为用于展示的安全告警；
[0038]S14：将当前待选择组合权重之后的最大的组合权重作为当前待选本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全告警显示方法，其特征在于，包括：根据告警级别从高到低的顺序从所有的终端安全告警中选取m条所述终端安全告警，m≥1；根据告警级别从高到低的顺序从所有的流量安全告警中选取n条所述流量安全告警，以构成由m条所述终端安全告警及n条所述流量安全告警组成的包含N条安全告警的安全告警数据源，m+n＝N，n≥1；根据所述安全告警源中每条安全告警的告警特征确定每条所述安全告警的表征所述安全告警的重要程度的影响力，所述告警特征包括告警级别、告警时间和告警源中的至少两个；根据所有的安全告警的影响力确定所有的安全告警中的可供展示的安全告警；根据可供展示的安全告警的影响力及预设展示条数确定用于展示的安全告警。2.如权利要求1所述的安全告警显示方法，其特征在于，所述告警特征包括告警级别、告警时间和告警源时，根据所述安全告警源中每条安全告警的告警特征确定每条所述安全告警的表征所述安全告警的重要程度的影响力，包括：根据第i条所述安全告警的告警级别确定第i条所述安全告警对应的告警级别权重C，其中，1≤i≤N，N条安全告警对应的C的加和为第一预设阈值或乘积为第二预设阈值；根据第i条所述安全告警的告警时间确定第i条所述安全告警对应的告警时间权重D，其中，N条安全告警对应的D的加和为第三预设阈值或乘积为第四预设阈值；根据第i条安全告警的告警源确定第i条所述安全告警对应的告警源权重E，其中，N条安全告警对应的E的加和为第五预设阈值或乘积为第六预设阈值；对于第i条所述安全告警，执行如下步骤：基于预设影响力关系式确定第i条所述安全告警的影响力；所述预设影响力关系式为影响力＝告警级别*C+告警时间*D+告警源*E。3.如权利要求1所述的安全告警显示方法，其特征在于，根据所有的安全告警的影响力确定所有的安全告警中的可供展示的安全告警，包括：在第i条所述安全告警的影响力不小于所述预设影响力阈值时，确定第i条所述安全告警为可供展示的安全告警；在第i条所述安全告警的影响力小于所述预设影响力阈值时，确定第i条所述安全告警为非可供展示的安全告警。4.如权利要求1所述的安全告警显示方法，其特征在于，根据可供展示的安全告警的影响力及预设展示条数确定用于展示的安全告警，包括：将所有的可供展示的安全告警的影响力按照从高到低的顺序排序；从与所述影响力排序最高的对应的可供展示的安全告警开始顺序选择所述预设展示条数的用于展示的安全告警。5.如权利要求1所述的安全告警显示方法，其特征在于，根据所有的安全告警的影响力确定所有的安全告警中的可供展示的安全告警之前，还包括：以S条安全告警为单位对所述安全告警数据源进行分组，若最后剩余的安全告警的条数a小于S，则将剩余的a条安全告警作为一组，共得到X组，其中，(X
‑
1)*S+a＝N，1≤S≤N且S为整数，0＜a＜S且a为整数，X为不小于1的整数；
根据第j个所述安全告警组合中所有的安全告警的影响力的加和确定第j个所述安全告警组合对应的组合权重，所述组合权重与所述影响力的加和呈正相关；其中，1≤j≤X，所有的组合权重的加和为第七预设阈值或乘积为第八预设阈值；根据所有的安全告警的影响力确定所有的安全告警中的可供展示的安全告警，包括：对于第j个所述安全告警组合中的第z条所述安全...

【专利技术属性】
技术研发人员：龙文洁，林华明，梁向阳，边森超，
申请(专利权)人：杭州安恒信息安全技术有限公司，
类型：发明
国别省市：